Loading…
Tilbage

Profilbillede

SPMetadata.xml til Webtjeneste/nemlogin STS

Andreas Westh

På administrations sitet forsøger vi at oprette en webtjeneste/nemlogin STS. I den forbindelse skal der uploades en SPMetadata fil, eller måske en WSPMetadata fil.

Findes der nogen eksempler på hvordan sådan en ser ud?

Der findes eksempel på IDP-metadata (SPMetadata.xml) på https://test-nemlog-in.dk/testportal/

Ellers vil jeg anbefale at kigge i de ressourcer, der er linket til her fra gruppen, f.eks. implementationen af en klient i oiosaml.2.0.9.java - eller den tilsvarende .NET-udgave.

Til web-sso brugte vi tilrettede versioner af de her https://svn.softwareborsen.dk/oiosaml.java/sp/trunk/env/metadata/SP/SPMetadata.xml

og

https://svn.softwareborsen.dk/oiosaml.java/sp/trunk/env/metadata/IdP/IdPMetadata.xml

De fungerede fint.

 

Vi ønsker at registere eller oprette en webtjeneste, også omtalt som en WSP (web service Provider) der skal kunne tilgås ved fremvisning af gyldigt access token udstedt af nemlogins SecureTokenService. Derfor opretter vi en webtjeneste under administration.nemlog-in.dk. I den forbindelse skal man uploade en metadatafil. Her accepteres formattet fra tidl. refereret spmetadata.xml ikke. 
Der omtales andet steds at en særlig attribut skal tilføjes 
"For at kunne indlejre denne attribut i en SAML assertion og dermed udstede et Bootstrap Token kræves det at metadata indeholder attributten: urn:liberty:disco:2006-08:DiscoveryEPR. Som Web Service Consumer (WSC) er det derfor nødvendigt at opdatere metadata i CSS.

Eksisterende IT-systemer som ikke tidligere har anvendt en STS vil derfor skulle opdatere metadata med denne specifikke attribut." 

Jeg gætter at WSC og WSP skal oprettes i administrations-systemet. Hvor finder jeg eksempler på gyldige metadatafiler for WSC og WSP?

Såvidt jeg kan se følger de ikke med i reference impl. https://www.digitaliser.dk/resource/4046775

En kort opdatering. Der er ikke nogen eksempler på en wspmetadata.xml fil i reference koden fra d. 6/6-18. Men i administrations interfacets guide er der en xml snippet, som man kan tilpasse

<md:EntityDescriptorxmlns:ds="http://www.w3.org/2000/09/xmldsig#"xmlns:md="dk:gov:nemlogin:ws:metadata"xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"xmlns:xml="http://www.w3.org/XML/1998/namespace"entityID="https://wsp.domain.dk">
<md:SPWSDescriptorprotocolSupportEnumeration="dk:gov:nemlogin:ws:metadata:1.0:protocol">
<md:KeyDescriptoruse="encryption">
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>
MIIGIjCCBQqgAwIBAgIEUw/JIDANBgkqhkiG9w0BAQsFADBHMQswCQYDVQQGEwJE
...
ueRDLjay9fojLqItRhzbNROgF5ehEW2Jez8JhtrVjxoKuaCi2V28qpMVM+fFuOpT
yA8AGgeLKiA0/uGrkbe+zVF2e8lYc/kvp9cI6GlAlQdUzE9Cge4=
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:X509SubjectName</md:NameIDFormat>
<md:AssertionConsumerServiceBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"Location="https://wsp.domain.dk"ResponseLocation="https://wsp.domain.dk"index="0"/>
<md:AttributeConsumingServiceindex="0">
<md:ServiceNamexml:lang="en-US">WSP for wsp.domain.dk</md:ServiceName>
<md:RequestedAttributeName="dk:gov:saml:attribute:SpecVer"FriendlyName="SpecVer"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"isRequired="true"/>
<md:RequestedAttributeName="dk:gov:saml:attribute:AssuranceLevel"FriendlyName="AssuranceLevel"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"isRequired="true"/>
<md:RequestedAttributeName="dk:gov:saml:attribute:Privileges_intermediate"FriendlyName="Privileges"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"isRequired="true"/>
<md:RequestedAttributeName="dk:gov:saml:attribute:CvrNumberIdentifier"FriendlyName="CVR"NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"isRequired="true"/>
</md:AttributeConsumingService>
</md:SPWSDescriptor>
</md:EntityDescriptor>